
<div dir="ltr">Looking again, I see that it is "option" and not "options".  "options" is correct according to the RFC and thus what is in the Nikto database. Your server should be sending x-frame-options and *not* x-frame-option to properly set frame restrictions.<div>


<br></div><div>regards,</div><div>Sullo</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, May 10, 2014 at 3:25 PM, <a href="mailto:csullo@gmail.com">csullo@gmail.com</a> <span dir="ltr"><<a href="mailto:csullo@gmail.com" target="_blank">csullo@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'm not near a computer to check this out, but that should be in the database of known headers. So either it's missing which is a mistake, or a bug is preventing a match.<br>


<br>

However, you want to keep that header around unless you have a specific need for removing it (and even then, allowing specific hosts to frame). So don't try to get rid of it--leave it be!<br>

<br>

I'll look at this later to figure out why it's not matching.<br>

<br>

Regards,<br>

Sullo<br>

<div class="HOEnZb"><div class="h5"><br>

> On May 10, 2014, at 11:26 AM, eXile Out <<a href="mailto:outofexile@yandex.com">outofexile@yandex.com</a>> wrote:<br>

><br>

> Dear Friend,<br>

> I've a security problem whit my server (debian wheezy 7.4 with apache 2.2.22-deb7u on amd64 arch).<br>

> when I scan the server with nikto, nikto tell me that found a "Uncommon header" that I can't solve:<br>

> -----------------------------------------------------------------------------------------------------------<br>

> - Nikto v2.1.5<br>

> -----------------------------------------------------------------------------------------------------------<br>

> + Taget IP: 127.0.0.1<br>

> -----------------------------------------------------------------------------------------------------------<br>

> + Server: Apache/2.2.22<br>

> + Uncommon header 'x-frame-options' found, with contents: SAMEORIGIN<br>

> -----------------------------------------------------------------------------------------------------------<br>

><br>

> The default debian anti click-hijacking config is in the file:<br>

> /etc/apache2/conf.d/security<br>

> And containd this line:<br>

> Header set X-Frame-Option: "sameorigin"<br>

><br>

> I try to comment this line and add manually the protection, in file:<br>

> /etc/apache2/httpd.conf (created by me and included on apache2.conf file)<br>

> Whit this line:<br>

> Header always append X-Frame-Option SAMEORIGIN<br>

><br>

> But the message on Nikto persist.<br>

> Anyone can help me?<br>

> Thank you so much<br>

> Regards<br>

> OeX<br>

> _______________________________________________<br>

> Nikto is sponsored by Netsparker, a false positive free web application security scanner.<br>

> Visit <a href="https://www.netsparker.com/" target="_blank">https://www.netsparker.com/</a> for more information.<br>

> _______________________________________________<br>

> Nikto-discuss mail list<br>

> <a href="mailto:Nikto-discuss@attrition.org">Nikto-discuss@attrition.org</a><br>

> <a href="https://attrition.org/mailman/listinfo/nikto-discuss" target="_blank">https://attrition.org/mailman/listinfo/nikto-discuss</a><br>

</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a>

</div>